en crisisbeheersing
magazine-nationale-veiligheid-en-crisisbeheersing-2015-5-interactief_tcm126-611137
magazine-nationale-veiligheid-en-crisisbeheersing-2015-5-interactief_tcm126-611137
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Cybersecurity <strong>en</strong> Alert Online<br />
Vooruitkijk<strong>en</strong>: het EU-voorzitterschap<br />
Tijd<strong>en</strong>s de Global Confer<strong>en</strong>ce on Cyber Space hebb<strong>en</strong> we de<br />
bouwblokk<strong>en</strong> voor e<strong>en</strong> internationaal publiek gepres<strong>en</strong>teerd.<br />
Tegelijkertijd word<strong>en</strong> ook op Europees niveau de kracht<strong>en</strong> gebundeld.<br />
Naast de bestaande Europese Financial Institutions ISAC zijn er<br />
ook Europese initiatiev<strong>en</strong> om e<strong>en</strong> Energy ISAC <strong>en</strong> e<strong>en</strong> Aviation ISAC op<br />
te zett<strong>en</strong>. Verder hebb<strong>en</strong> verschill<strong>en</strong>de Europese land<strong>en</strong> aangegev<strong>en</strong><br />
te gelov<strong>en</strong> in publiek-private informatiedeling. Mede hierdoor is<br />
publiek-private sam<strong>en</strong>werking tijd<strong>en</strong>s het aankom<strong>en</strong>de<br />
Nederlandse EU-voorzitterschap één van de prioriteit<strong>en</strong>.<br />
Cyberinsecurity houdt zich namelijk niet aan organisatieplaatjes<br />
<strong>en</strong> landsgr<strong>en</strong>z<strong>en</strong>.<br />
Verregaande update ICT-beveiligingsrichtlijn<strong>en</strong><br />
Webapplicaties<br />
■■<br />
Michiel Oosterwijk<br />
Nationaal Cyber Security C<strong>en</strong>trum<br />
Begin september heeft het Nationaal Cyber Security C<strong>en</strong>trum (NCSC)<br />
e<strong>en</strong> update uitgebracht van de ICT-Beveiligingsrichtlijn<strong>en</strong> voor<br />
Webapplicaties 1 (hierna aangeduid als de Richtlijn<strong>en</strong>).<br />
De Richtlijn<strong>en</strong> werd<strong>en</strong> voor het eerst gepubliceerd in februari 2012.<br />
De Richtlijn<strong>en</strong> werd<strong>en</strong> direct breed opgepakt <strong>en</strong> onder andere<br />
toegepast als basis voor het norm<strong>en</strong>kader dat het Ministerie van BZK<br />
opstelde voor partij<strong>en</strong> die gebruik will<strong>en</strong> mak<strong>en</strong> van DigiDauth<strong>en</strong>ticatiedi<strong>en</strong>st<strong>en</strong>.<br />
De Richtlijn<strong>en</strong> zijn bedoeld voor e<strong>en</strong> brede<br />
doelgroep:<br />
• systeemeig<strong>en</strong>ar<strong>en</strong> <strong>en</strong> securitymanagers van websites of<br />
webapplicaties;<br />
• ontwikkelaars <strong>en</strong> beheerders van webapplicaties;<br />
• controler<strong>en</strong>de instanties, zoals IT-auditors.<br />
De Richtlijn<strong>en</strong> kunn<strong>en</strong> zowel grote als kleinere organisaties help<strong>en</strong><br />
hun webapplicaties beter te beveilig<strong>en</strong>.<br />
Door de veelvuldige praktijktoepassing van de Beveiligingsrichtlijn<strong>en</strong><br />
heeft het NCSC veel bruikbare verbetersuggesties ontvang<strong>en</strong>.<br />
Deze hebb<strong>en</strong>, sam<strong>en</strong> met nieuwe ontwikkeling<strong>en</strong> op het gebied van<br />
kwetsbaarhed<strong>en</strong> <strong>en</strong> dreiging<strong>en</strong>, uiteindelijk geleid tot e<strong>en</strong> grondige<br />
herzi<strong>en</strong>ing.<br />
De structuur 2 van de Richtlijn<strong>en</strong> is ingrijp<strong>en</strong>d gewijzigd. De<br />
Richtlijn<strong>en</strong> zijn opgedeeld in drie domein<strong>en</strong>: Beleid, Uitvoering <strong>en</strong><br />
Beheersing. Elk domein bevat e<strong>en</strong> aantal relevante richtlijn<strong>en</strong> die<br />
elk bijdrag<strong>en</strong> aan het verbeter<strong>en</strong> van de beveiliging van webapplicaties.<br />
Iedere richtlijn k<strong>en</strong>t maatregel<strong>en</strong> die kunn<strong>en</strong> word<strong>en</strong> toegepast<br />
om aan de richtlijn te voldo<strong>en</strong>. Hierbij is de overlap met veelgebruikte<br />
beveiligingsstandaard<strong>en</strong> <strong>en</strong> baselines (bij voorbeeld ISO<br />
27002 <strong>en</strong> overheidsbaselines als BIR <strong>en</strong> BIG) zo beperkt mogelijk<br />
gehoud<strong>en</strong>. Door de nieuwe structuur kunn<strong>en</strong> richtlijn<strong>en</strong> <strong>en</strong><br />
bijbehor<strong>en</strong>de maatregel<strong>en</strong> op e<strong>en</strong>voudige wijze word<strong>en</strong> toegek<strong>en</strong>d<br />
aan verschill<strong>en</strong>de (voor het beschikbaar stell<strong>en</strong> van e<strong>en</strong> webapplicatie)<br />
betrokk<strong>en</strong> person<strong>en</strong> of afdeling<strong>en</strong>.<br />
Daarnaast zijn ook inhoudelijk de nodige richtlijn<strong>en</strong> gewijzigd<br />
of toegevoegd <strong>en</strong> is e<strong>en</strong> aanzi<strong>en</strong>lijk aantal nieuwe maatregel<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong>. Om de vele gebruikers van de vorige versie behulpzaam<br />
te zijn, bevatt<strong>en</strong> de Richtlijn<strong>en</strong> e<strong>en</strong> bijlage die voor iedere<br />
oude richtlijn e<strong>en</strong> vertaling geeft naar de nieuwe richtlijn<strong>en</strong> <strong>en</strong><br />
maatregel<strong>en</strong>.<br />
1<br />
https://www.ncsc.nl/actueel/whitepapers/ict-beveiligingsrichtlijn<strong>en</strong>-voorwebapplicaties.html<br />
2<br />
Conform de SIVA-methodiek voor auditrefer<strong>en</strong>tiekaders.<br />
24 | Magazine nationale veiligheid <strong>en</strong> <strong>crisisbeheersing</strong> 2015 - nr. 5